MINISTÉRIO DA DEFESA

EXÉRCITO BRASILEIRO
COMANDO DO EXÉRCITO

APOSTILA DE GESTÃO DE RISCOS

E CONTROLES INTERNOS
3ª VERSÃO

BRASÍLIA-DF, SETEMBRO DE 2018

Chefe do Centro de Controle Interno do Exército
General de Brigada EUGÊNIO ENEIAS CAMILO

Equipe Responsável:
Coronel ADELSON ROBBI
Major JORGE RODRIGO FARIA
Major CELSO ROSSATO SANTI
Major FABIO DE MOURA SOUSA

Confecção e diagramação:
Major FABIO DE MOURA SOUSA
Capitão ROBÉRIO DAS CHAGAS FERREIRA
 LISTA DE FIGURAS

Figura 1: Esquema do Risco...............................................................................................................14

Figura 2: Técnica da gravata borboleta..............................................................................................15
Figura 3: Exemplo da Técnica da gravata borboleta..........................................................................17
Figura 4: Avaliação de Riscos (Probabilidade e Impacto).................................................................18
Figura 5: Diagrama de Verificação de Riscos....................................................................................20
Figura 6: Diagrama de Verificação de Riscos Inerentes....................................................................21
Figura 7:Priorização do Tratamento dos Riscos Inerentes.................................................................23
Figura 8: Controles Preventivos e Detectivos....................................................................................25
Figura 9: Riscos Residuais Estimados................................................................................................27
Figura 10: Diagrama de Verificação de Riscos Residuais Efetivos...................................................29
Figura 11: Monitoramento..................................................................................................................30
 LISTA DE TABELAS

Tabela 1: Priorização dos Processos Críticos.....................................................................................13

Tabela 2: Identificação dos Riscos Inerentes.....................................................................................14
Tabela 3: Portfólio de Fatores de Risco.............................................................................................16
Tabela 4: Avaliação qualitativa da Probabilidade..............................................................................18
Tabela 5: Avaliação qualitativa do Impacto.......................................................................................19
Tabela 6: Extrato da Matriz de Riscos e Controles (Avaliação de probabilidade e impacto)............19
Tabela 7: Avaliação de Nível de Risco dos Processos (Riscos Inerentes).........................................22
Tabela 8: Matriz de Riscos Residuais Estimados (Avaliação de probabilidade e impacto)...............26
Tabela 9: Matriz de Riscos Residuais Efetivos (Avaliação de probabilidade e impacto)..................29
 SUMÁRIO

1 PREMISSAS E OBJETIVOS...........................................................................................................7
2 CONCEITOS....................................................................................................................................7
3 GESTÃO DE RISCOS.....................................................................................................................9
4 COMPONENTES DA GESTÃO DE RISCOS..............................................................................10
5 AMBIENTE INTERNO.................................................................................................................11
6 FIXAÇÃO DE OBJETIVOS..........................................................................................................13
7 IDENTIFICAÇÃO DE EVENTOS................................................................................................14
8 AVALIAÇÃO DE RISCOS...........................................................................................................15
9 RESPOSTAS A RISCOS...............................................................................................................24
10 ATIVIDADES DE CONTROLE.................................................................................................24
11 INFORMAÇÕES E COMUNICAÇÕES.....................................................................................28
12 MONITORAMENTO..................................................................................................................28
13 CONCLUSÃO..............................................................................................................................31
REFERÊNCIAS BIBLIOGRÁFICAS..............................................................................................33
APÊNDICE A – MATRIZ DE RISCOS E CONTROLES (MODELO)..........................................35
APÊNDICE B – IDENTIFICAÇÃO DE RISCOS E FATORES DE RISCO..................................36
APÊNDICE C – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES......................................37
APÊNDICE D – PLANO DE AÇÃO 5W2H....................................................................................38
APÊNDICE E – MONITORAMENTO............................................................................................39
APÊNDICE F – MATRIZ DE RISCOS E CONTROLES................................................................40
APÊNDICE G – ESTUDO DE CASO..............................................................................................41
APÊNDICE H – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – ESTUDO DE CASO...........43
APÊNDICE I – MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO...........................44
APÊNDICE J – TÉCNICA DA GRAVATA BORBOLETA– ESTUDO DE CASO......................45
APÊNDICE K – PROCESSO MAPEADO – ESTUDO DE CASO.................................................46
APÊNDICE L – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – ESTUDO DE CASO.............47
APÊNDICE M – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO48
APÊNDICE N – PLANO DE AÇÃO – 5W2H – ESTUDO DE CASO...........................................49
APÊNDICE O – MONITORAMENTO – ESTUDO DE CASO......................................................50
APÊNDICE P – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – GABARITO.........................51
APÊNDICE Q – MATRIZ DE RISCOS E CONTROLES – GABARITO......................................52
APÊNDICE R – TÉCNICA DA GRAVATA BORBOLETA – GABARITO.................................53
APÊNDICE S – PROCESSO MAPEADO – GABARITO...............................................................54
APÊNDICE T – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – GABARITO..........................55
APÊNDICE U – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – GABARITO.............56
APÊNDICE V – PLANO DE AÇÃO – 5W2H – GABARITO........................................................57
APÊNDICE X – MONITORAMENTO – GABARITO...................................................................58
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 6

APOSTILA DE GESTÃO DE RISCOS E CONTROLES INTERNOS

1 PREMISSAS E OBJETIVOS

A Apostila de Gestão de Riscos e Controles Internos tem como premissas o alinhamento

às estratégias, a sistematização, o comprometimento dos gestores e a integração aos processos
organizacionais e à tomada de decisões.
São objetivos da Apostila de Gestão de Riscos e Controles Internos apresentar
metodologia, critérios e técnicas para a aplicação prática da Gestão de Riscos, bem como
orientar a identificação, a análise, a avaliação, o tratamento, o monitoramento e a
comunicação dos riscos institucionais.
Esta Apostila compõe o material didático do Curso de Gestão de Riscos e Controles
Internos ministrado pelo Centro de Controle Interno do Exército.

2 CONCEITOS

Para fins desta Apostila, considera-se:

 Accountability: conjunto de procedimentos adotados pelas organizações públicas e
pelos indivíduos que as integram que evidenciam sua responsabilidade por decisões tomadas e
ações implementadas, incluindo a salvaguarda de recursos públicos, a imparcialidade e o
desempenho das organizações;
 Governança: combinação de processos e estruturas implantadas pela alta
administração, para informar, dirigir, administrar e monitorar as atividades da organização,
com o intuito de alcançar os seus objetivos;
 Governança no setor público: compreende essencialmente os mecanismos de
liderança, estratégia e controle postos em prática para avaliar, direcionar e monitorar a
atuação da gestão, com vistas à condução de políticas públicas e à prestação de serviços de
interesse da sociedade. No âmbito do Exército, a governança é exercida pelo seu Comandante,
assessorado pelo Alto Comando do Exército;
 Risco: possibilidade de ocorrência de um evento que venha a ter impacto no
cumprimento dos objetivos. O risco é medido em termos de probabilidade e de impacto;
 Risco inerente: risco a que uma organização está exposta sem considerar quaisquer
ações gerenciais que possam reduzir a probabilidade de sua ocorrência ou seu impacto;
 Risco residual: risco a que uma organização está exposta após a implementação de
ações gerenciais para o tratamento do risco;
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 7

 Evento: ocorrência ou alteração em um conjunto específico de circunstâncias capaz de

causar impacto;
 Causa ou fator de risco: condição que pode dar origem à possibilidade de um evento
acontecer. Pode ter origem no ambiente interno ou externo;
 Consequência do risco: resultado de um evento sobre os objetivos;
 Probabilidade: quantificação da possibilidade de ocorrência do evento;
 Impacto: consequência resultante da ocorrência do evento sobre os objetivos;
 Incerteza: incapacidade de saber com antecedência a real probabilidade ou impacto de
eventos futuros;
 Mensuração de risco: significa estimar a importância de um risco e calcular a
probabilidade e o impacto de sua ocorrência;
 Gestão de riscos: processo para identificar, avaliar, administrar e controlar potenciais
eventos ou situações, para fornecer razoável certeza quanto ao alcance dos objetivos da
organização;
 Apetite a risco: nível de risco que uma organização está disposta a aceitar;
 Tolerância a risco: limiar de risco, a partir do qual, certos resultados das operações da
organização podem ser comprometidos. É um indicativo da sensibilidade da organização em
relação aos riscos;
 Fraude: qualquer ato ilegal caracterizado por desonestidade, dissimulação ou quebra
de confiança. Este ato não implica o uso de ameaça de violência ou de força física. Fraude é
um tipo específico de risco; e
 Controles internos da gestão: conjunto de regras, procedimentos, diretrizes,
protocolos, rotinas de sistemas informatizados, conferências e trâmites de documentos e
informações, entre outros, operacionalizados de forma integrada pelo Comandante e por seus
subordinados, destinados a enfrentar os riscos e fornecer segurança razoável de que, na
consecução da missão da Organização Militar, os seguintes objetivos gerais sejam alcançados:
 Execução ordenada, ética, econômica, eficiente e eficaz das operações;
 Cumprimento das obrigações de accountability;
 Cumprimento das leis e regulamentos; e
 Salvaguarda dos recursos para evitar perdas, mau uso e danos.
O estabelecimento de controles internos no âmbito da gestão pública visa
essencialmente a aumentar a probabilidade de que os objetivos e metas estabelecidos sejam
alcançados, de forma eficaz, eficiente, efetiva e econômica.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 8

3 GESTÃO DE RISCOS

A Gestão de Riscos é um processo conduzido pelo Exército Brasileiro, desde o Comitê

de Governança, Riscos e Controles até o Gestor de Riscos, no estabelecimento de estratégias,
formuladas para identificar em toda a Instituição eventos em potencial, capazes de afetá-la, e
administrar os riscos de modo a mantê-los compatíveis com o apetite a risco estabelecido na
Política de Gestão de Riscos do Exército e possibilitar garantia razoável do cumprimento dos
seus objetivos.
A definição da Gestão de Riscos reflete certos conceitos fundamentais. A gestão de
riscos é:
 Um processo contínuo e que flui através do Exército;
 Conduzida por militares e civis em todos os níveis da Instituição;
 Aplicada à definição das estratégias;
 Formulada para identificar eventos em potencial, cuja ocorrência poderá afetar as
Organizações Militares, e para administrar os riscos de acordo com o apetite a risco do
Exército;
 Capaz de propiciar garantia razoável quanto o alcance dos objetivos; e
 Orientada para a realização de objetivos em uma ou mais categorias distintas, mas
dependentes.
Com base na missão ou visão estabelecida pelo Exército, a Alta Administração do
Exército (ou Comitê de Governança, Riscos e Controles) estabelece os planos principais,
seleciona as estratégias e determina o alinhamento dos objetivos nos níveis da Instituição.
Essa estrutura de gestão de riscos é orientada a fim de alcançar os objetivos de controle,
classificados em quatro categorias:
 Estratégicos: atingimento das metas gerais, alinhadas com o que suportem à sua
missão;
 Operacionais: utilização eficaz e eficiente dos recursos;
 De Comunicação: confiabilidade de relatórios; e
 De Conformidade: cumprimento de leis e regulamentos aplicáveis.
Quando se constata que a gestão de riscos é eficaz em cada uma das quatro categorias
de objetivos, isso significa que o Comandante do Exército e a Alta Administração (ou Comitê
de Governança, Riscos e Controles) terão garantia razoável de que entenderam até que ponto,
os objetivos estratégicos e operacionais estão realmente sendo alcançados, o sistema de
comunicação da Instituição é confiável e todas as leis e regulamentos cabíveis estão sendo
observados.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 9

A Metodologia de Gestão de Riscos adotada é baseada no referencial presente na obra

“Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee of
Sponsoring Organizations of The Treadway Commission (COSO), conhecida por COSO
ERM.
A fim de viabilizar uma execução simples e eficiente da Gestão de Riscos, utilizaremos
uma Matriz de Riscos e Controles (Apêndice A), cujo preenchimento seguirá a ordem de
apresentação dos componentes da estrutura de Gestão de Riscos presentes no COSO ERM.

4 COMPONENTES DA GESTÃO DE RISCOS

A Gestão de Riscos está estruturada em oito componentes inter-relacionados e

integrados com o processo de gestão das Organizações Militares. Esses componentes são:
 Ambiente interno: inclui, entre outros elementos, integridade, valores éticos e
competência das pessoas, maneira pela qual a gestão delega autoridade e responsabilidades,
estrutura de governança organizacional, políticas e práticas de recursos humanos. O ambiente
interno é a base para todos os outros componentes da estrutura de gestão de riscos, provendo
disciplina e prontidão para a gestão de riscos;
 Fixação de objetivos: todos os níveis do Exército Brasileiro (Alta Administração,
Departamentos, Diretorias e Organizações Militares) devem ter objetivos fixados e
comunicados. A explicitação de objetivos, alinhados à missão e à visão da organização, é
necessária para permitir a identificação de eventos que potencialmente impeçam sua
consecução;
 Identificação de eventos: devem ser identificados e relacionados os riscos inerentes à
própria atividade da organização, em seus diversos níveis;
 Avaliação de riscos: os eventos devem ser avaliados sob a perspectiva de
probabilidade e impacto de sua ocorrência. A avaliação de riscos deve ser feita por meio de
análises qualitativas, fazendo uso de lógica intuitiva com critérios preestabelecidos e escala de
valoração para determinar o nível do risco. Os riscos devem ser avaliados quanto à sua
condição de inerentes ou residuais;
 Resposta a riscos: a Organização Militar deve identificar qual estratégia seguir (evitar,
mitigar, compartilhar ou aceitar) em relação aos riscos mapeados e avaliados. A escolha da
estratégia dependerá do nível de exposição a riscos previamente estabelecido pelo Exército
Brasileiro em confronto com a avaliação que se fez do risco;
 Atividades de controles internos: são as políticas e os procedimentos estabelecidos e
executados para mitigar os riscos que a organização tenha optado por tratar. Também
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 10

denominadas de procedimentos de controle, devem estar distribuídas por toda a organização,

em todos os níveis e em todas as funções. Incluem uma gama de controles internos da gestão
preventivos e detectivos, bem como a preparação prévia de planos de contingência e resposta
à materialização dos riscos;
 Informação e comunicação: informações relevantes devem ser identificadas, coletadas
e comunicadas, a tempo de permitir que as pessoas cumpram suas responsabilidades, não
apenas com dados produzidos internamente, mas, também, com informações sobre eventos,
atividades e condições externas, que possibilitem o gerenciamento de riscos e a tomada de
decisão. A comunicação das informações produzidas deve atingir todos os níveis, por meio de
canais claros e abertos que permitam que a informação flua em todos os sentidos; e
 Monitoramento: tem como objetivo avaliar a qualidade da gestão de riscos e dos
controles internos da gestão, por meio de atividades gerenciais contínuas e/ou avaliações
independentes, buscando assegurar que estes funcionem como previsto e que sejam
modificados apropriadamente, de acordo com mudanças nas condições que alterem o nível de
exposição a riscos.

5 AMBIENTE INTERNO

O Ambiente Interno é a base para todos os outros componentes da Gestão de Riscos, o

que propicia disciplina e estrutura. Esse ambiente influencia o modo pelo qual as estratégias e
os objetivos são estabelecidos, os negócios são estruturados, e os riscos são identificados,
avaliados e geridos. Este influencia o desempenho e o funcionamento das atividades de
controle, dos sistemas de informação e comunicação, bem como das atividades de
monitoramento.
Sendo influenciado pela história e cultura do Exército, o Ambiente Interno compreende
muitos elementos, inclusive os valores éticos da Instituição, a competência e desenvolvimento
pessoal, a filosofia da administração para a gestão de riscos, a atribuição de alçada e
responsabilidade.
Os fatores do ambiente interno compreendem a filosofia administrativa da Instituição no
que diz respeito aos riscos; o seu apetite a risco; a supervisão do Comitê de Governança,
Riscos e Controles; a integridade, os valores éticos e a competência dos militares e civis do
Exército; e a forma pela qual a Alta Administração atribui alçadas e responsabilidades, bem
como organiza e desenvolve o seu pessoal.
A filosofia de gestão de riscos do Exército é representada pelo conjunto de convicções e
atitudes compartilhadas que caracterizam a forma pela qual a Instituição considera o risco em
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 11

tudo aquilo que faz, do desenvolvimento e da implementação de estratégias às suas atividades

do dia a dia. Sua filosofia de gestão de riscos reflete em seus valores, influencia a sua cultura
e seu estilo operacional, bem como afeta a forma que os componentes de gestão de riscos são
aplicados inclusive como os riscos são identificados, os tipos de riscos aceitáveis e a forma
pela qual são administrados.
O apetite a risco refere-se ao nível de risco que o Exército dispõe-se a aceitar na busca
de valor. O apetite a risco reflete na filosofia de gestão de riscos e, por sua vez, influencia a
cultura e o estilo operacional.
O Comitê de Governança, Riscos e Controles do Exército representa uma parte crítica
do ambiente interno e é capaz de influenciar os seus elementos de forma significativa. A
despeito do fato que, historicamente, uma instituição não tenha incorrido em prejuízos e nem
se exponha muito a riscos, os membros do Comitê não devem sucumbir à noção mítica de que
eventos que trazem sérias consequências adversas não vão ocorrer no Exército. Eles
reconhecem que, embora a Instituição possa ter uma estratégia perfeita, pessoas competentes,
processos íntegros e tecnologia confiável, ela, como qualquer outra instituição, é vulnerável a
risco e necessita de uma gestão de riscos eficaz.
A estratégia e os objetivos do Exército e o modo pelo qual são implementados baseiam-
se em preferências, julgamentos de valor e estilos gerenciais. A integridade e o compromisso
da Alta Administração com valores éticos influenciam essas preferências e esses julgamentos,
os quais são traduzidos em normas de comportamento. A boa reputação da Instituição pode
ser tão valiosa que seus padrões de comportamento devem estender-se além do mero
cumprimento de normas.
A competência profissional dos militares e civis do Exército reflete no conhecimento e
nas habilidades necessárias à execução de tarefas designadas. A Alta Administração do
Exército decide quão bem essas tarefas necessitam ser executadas, ponderando as estratégias e
os objetivos da Instituição, bem como os planos para a sua implementação e realização. A
Alta Administração do Exército estipula os níveis de competência para determinados
trabalhos e traduz esses níveis em habilidades e conhecimentos necessários, que por sua vez,
podem depender do grau de inteligência, treinamento e experiência individual. Os fatores
considerados no desenvolvimento dos níveis de conhecimentos e habilidades incluem a
natureza e o grau de julgamento utilizado em uma função específica.
A estrutura organizacional do Exército provê o arcabouço para planejar, executar,
controlar e monitorar as suas atividades. A estrutura inclui a definição de áreas fundamentais
de autoridade e responsabilidade, bem como a definição de linhas apropriadas de
comunicação.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 12

A atribuição de alçada e responsabilidade inclui até que ponto pessoas e equipes estão
autorizadas e são incentivadas a adotar sua própria iniciativa ao abordar questões, bem como a
solucionar problemas e os limites dessa autoridade. A delegação de autoridade significa
passar o controle central de determinadas decisões aos escalões inferiores – para o pessoal que
está mais próximo das atividades cotidianas.
O desafio crucial é delegar apenas até o grau necessário ao alcance dos objetivos, a fim
de assegurar que o processo decisório esteja embasado em práticas sadias de identificação e
avaliação de riscos, inclusive o dimensionamento de riscos e a comparação entre o potencial
de prejuízo com os ganhos na determinação de quais riscos aceitar e de como serão
administrados.
Outro desafio é assegurar que todo o pessoal entenda os objetivos da Instituição. É
essencial que as pessoas entendam de que forma suas ações se inter-relacionam e contribuem
para a realização dos objetivos.

6 FIXAÇÃO DE OBJETIVOS

A fixação de objetivos é uma precondição à identificação de eventos, à avaliação de

riscos e às respostas a riscos. É necessário que os objetivos existam para que a Organização
Militar possa identificar e avaliar os riscos quanto a sua realização, bem como adotar as
medidas necessárias para administrá-los.
A definição dos processos críticos, que mais impactam no atingimento dos objetivos da
OM, poderá ser feita estabelecendo uma correlação entre os processos e os objetivos da OM.
O resultado será uma matriz que prioriza os processos mais críticos a serem analisados,
conforme Tabela 1.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 13

Tabela 1: Priorização dos Processos Críticos

Objetivos
Atender as Contratação Contratação
Recebimento Total da
operações Contratação com qualidade em
dos produtos relação
militares com com preço que atenda os conformidade
e serviços em
produtos e competitivo requisitos com leis e
tempo hábil
serviços técnicos regulamentos

Oficialização da demanda 5 3 5 5 5 23
Planejamento da
3 1 3 3 3 13
Processos contratação
Seleção do fornecedor 5 5 5 1 5 21
Gestão do contrato 3 1 5 5 3 17

Legenda:
Relação Processo x Objetivo Pontos
Forte 5
Média 3
Fraca 1
Sem relação -
Fonte: Adaptado de ENAP (2016)

Após a priorização dos processos mais críticos a serem analisados, devem-se definir os
objetivos do processo em análise. Exemplo:
 Processo: Oficialização da demanda
 Objetivos:
 Solicitar a contratação de produtos e/ou serviços para atender uma necessidade da
organização;
 Descrever adequadamente o objeto da contratação;
 Definir o prazo para o recebimento dos produtos e/ou prestação dos serviços em
tempo hábil para utilização dos mesmos;
 Realizar pesquisa de preço; e
 Solicitar a contratação em conformidade com leis e regulamentos.

7 IDENTIFICAÇÃO DE EVENTOS

Neste componente, a OM identifica os eventos em potencial que, se ocorrerem, afetarão

a organização, por possuírem efeitos adversos na sua capacidade de implementar
adequadamente a estratégia e alcançar os objetivos. Estes eventos representam riscos que
exigem avaliação e resposta da OM. A Figura 1 apresenta uma visão ampla sobre os conceitos
de risco, evento, causa, consequência, probabilidade e impacto.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 14

Figura 1: Esquema do Risco

Fonte: CCIEx (2016)

Todo processo tem uma razão de ser que deve estar intimamente relacionado aos
objetivos estratégicos. Definimos isto como objetivos do processo que precisam ser
conhecidos. Com base nestes objetivos, identificamos os riscos inerentes ao processo, isto é, o
que pode acontecer que impacte no alcance dos objetivos do processo, conforme exemplo da
Tabela 2.

Tabela 2: Identificação dos Riscos Inerentes

Nº
Objetivos do processo Nº Obj Riscos inerentes aos objetivos
Risco
Solicitar a contratação de produtos e/ou
Não atendimento da necessidade da
serviços para atender uma necessidade da O1 R1
organização em produtos e/ou serviços
organização
Realizar pesquisa de preço O2 Contratação com preço distorcido R2
Descrever adequadamente o objeto da Contratação com qualidade inferior que não
O3 R3
contratação atende os requisitos técnicos
Definir o prazo para o recebimento dos
produtos e/ou prestação dos serviços em O4 Atraso na contratação R4
tempo hábil para utilização dos mesmos
Solicitar a contratação em conformidade Solicitação da contratação em
O5 R5
com leis e regulamentos desconformidade com leis e regulamentos
Fonte: CCIEx (2017)

A utilização de numeradores nos objetivos, riscos, fatores de risco (causas), controles e

planos de contingências facilitará a gestão de riscos da OM.

8 AVALIAÇÃO DE RISCOS

Uma infinidade de causas internas e externas (fatores de risco) impulsiona os riscos que
afetam a implementação da estratégia e o cumprimento dos objetivos. Como parte da gestão
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 15

de riscos, a OM deve reconhecer a importância de compreender essas causas e o risco que

pode emanar delas.
A OM pode optar pela Técnica da gravata borboleta (Figura 2), para entender quais são
os fatores de risco que influenciam na concretização de cada risco e as consequências
decorrentes.

Figura 2: Técnica da gravata borboleta

Fonte: CCIEx (2016)

Os fatores de risco são compostos pela vulnerabilidade existente em uma determinada

Fonte de Risco.
A Fonte de Risco é um elemento que, individualmente ou combinado, tem o potencial
intrínseco para dar origem ao risco:
 Pessoas – que podem não estar capacitadas, vir a cometer erro não-intencional ou
fraude;
 Processos – que podem apresentar problemas de modelagem, transação, conformidade,
controle ou técnica apropriada;
 Sistemas de gestão – que podem apresentar problemas de padronização e de inter-
relacionamento com outras atividades;
 Infraestruturas física e organizacional – que podem ser departamentalizadas ou
descentralizadas;
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 16

 Tecnologia de produto ou de produção – equipamentos; sistemas informatizados e

confiabilidade da informação; e
 Eventos externos – que não são gerenciáveis.
A OM poderá criar um portfólio de fatores de riscos que facilitará na análise de causa e
efeito da relação entre os fatores de riscos e os riscos de um determinado processo. A Tabela
3 ilustra um exemplo de portfólio de fatores de risco.

Tabela 3: Portfólio de Fatores de Risco

FATORES DE RISCO (CAUSAS)
Nº
FONTE VULNERABILIDADE
PESSOAL SEM CAPACITAÇÃO FR1
PESSOAL COM PERFIL INADEQUADO PARA EXECUÇÃO DO
FR2
PROCESSO
PESSOAS
PESSOAL EM NÚMERO INSUFICIENTE FR3
PESSOAL ARDILOSO FR4
PESSOAL DESMOTIVADO FR5
FLUXO DO PROCESSO MAL CONCEBIDO FR6
PROCESSOS AUSÊNCIA DE PROCEDIMENTOS FORMALIZADOS FR7
AUSÊNCIA DE SEGREGAÇÃO DE FUNÇÕES FR8
AUSÊNCIA DE SISTEMA PARA GESTÃO DO PROCESSO FR9
AUSÊNCIA DE INTEGRAÇÃO COM OUTROS SISTEMAS FR10

SISTEMAS PROBLEMA NA REDE DE DADOS FR11

INFORMATIZADOS ERRO NA FÓRMULA DAS PLANILHAS FR12
AUSÊNCIA DE MANUAIS DE OPERAÇÃO FR13
AUSÊNCIA DE BACKUPS FR14
DEFICIÊNCIAS NOS FLUXOS DE INFORMAÇÃO E COMUNICAÇÃO FR15
FALTA DE CLAREZA QUANTO ÀS FUNÇÕES E
ESTRUTURA FR16
RESPONSABILIDADES
ORGANIZACIONAL
CENTRALIZAÇÃO DE RESPONSABILIDADES FR17
DELEGAÇÕES EXORBITANTES FR18
LOCALIZAÇÃO INADEQUADA FR19
ESTRUTURA FÍSICA INSTALAÇÕES OU LEIAUTE INADEQUADOS FR20
INEXISTÊNCIA DE CONTROLES DE ACESSO FÍSICO FR21
TÉCNICA DE PRODUÇÃO ULTRAPASSADA/PRODUTO OBSOLETO FR22
INEXISTÊNCIA DE INVESTIMENTOS EM PESQUISA E
TECNOLOGIA DE FR23
DESENVOLVIMENTO
PRODUTO OU DE
PRODUÇÃO TECNOLOGIA SEM PROTEÇÃO DE PATENTES FR24
PROCESSO PRODUTIVO (TECNOLOGIA SEM PROTEÇÃO CONTRA
FR25
ESPIONAGEM)
Fonte: CCIEx (2018)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 17

A Figura 3 apresenta um exemplo da Técnica da gravata borboleta, onde se sinaliza a

relação Fator de Risco, Risco e Consequência.

Figura 3: Exemplo da Técnica da gravata borboleta

Fonte: CCIEx (2017)

A OM poderá utilizar a técnica de análise de fluxo de processo, que reúne as entradas,

as tarefas, as responsabilidades e as saídas que se combinam para formar um processo. Devem
ser considerados os fatores de risco internos e externos (red flags), que afetam as entradas ou
as atividades em um processo, ao se identificar os riscos (redflags) que podem afetar o
cumprimento dos objetivos deste processo, conforme ilustrado no Apêndice B.
Entende-se por riscos inerentes, a avaliação dos riscos sem considerar a execução de
controles para mitigá-los. Dentro desse conceito é necessário elaborar a avaliação de riscos
inerentes (probabilidade x impacto), cujo resultado será o grau de criticidade do risco
(magnitude) consolidado na Matriz de Riscos e Controles.
A avaliação de riscos visa auxiliar na definição de prioridades e opções de tratamento
aos riscos identificados. A metodologia a ser utilizada pela OM para a avaliação de riscos
possui dois parâmetros claros a serem estudados, conforme ilustrado na Figura 4:
 Saber qual a chance, a probabilidade, dos riscos virem a acontecer, frente à condição
existente de cada processo e área de negócio; e
 Calcular o impacto, as consequências para o processo impactado.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 18

Figura 4: Avaliação de Riscos (Probabilidade e Impacto)

Fonte: CCIEx (2017)

O impacto sobre os objetivos de um processo poderá acontecer em uma ou mais

dimensões, tais como: prazo, orçamentário-financeiro, qualidade, escopo, imagem ou
reputação, etc.
Para determinar os níveis de risco, é preciso definir escalas para estimar a probabilidade
e o impacto, bem como estabelecer quando a combinação desses dois fatores representa um
risco baixo, médio, alto, etc.
As Tabelas 4 e 5 exemplificam as escalas qualitativas que auxiliam na estimativa de
probabilidades e impactos de eventos.

Tabela 4: Avaliação qualitativa da Probabilidade

Descritor Descrição Nível

Evento se reproduz muitas vezes, se repete seguidamente, de maneira

assídua, numerosa e, não raro, de modo acelerado. Interfere de modo
Muito alta 5
claro no ritmo das atividades, sendo evidente para os que conhecem o
processo.

Evento usual, corriqueiro. Devido à sua ocorrência habitual ou

conhecida em uma dezena ou mais de casos, aproximadamente, seu
Alta 4
histórico é amplamente conhecido por parte de gestores e operadores do
processo.

Evento esperado, que se reproduz com frequência reduzida, porém

Média constante. Seu histórico de ocorrência é de conhecimento da maioria dos 3
gestores e operadores do processo.

Evento casual, inesperado. Muito embora raro, há histórico conhecido de

Baixa sua de ocorrência por parte dos principais gestores e operadores do 2
processo.

Evento extraordinário para os padrões conhecidos da gestão e operação

Muito
do processo. Embora possa assumir dimensão estratégica para a 1
baixa
manutenção do processo, não há histórico disponível de sua ocorrência.
Fonte: CCIEx (2016)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 19

Tabela 5: Avaliação qualitativa do Impacto

Descritor Descrição Nível
Interrupção abrupta de operações, atividades, projetos, programas ou
Muito alto processos da organização, impactando fortemente outros processos, 5
causando impactos de dificílima reversão nos objetivos.
Interrupção de operações, atividades, projetos, programas ou processos
Alto da organização, causando impactos de reversão muito difícil nos 4
objetivos.
Interrupção de operações ou atividades da organização, de projetos,
Médio programas ou processos, causando impactos significativos nos objetivos, 3
porém recuperáveis.
Degradação de operações, atividades, projetos, programas ou processos
Baixo 2
da organização, causando impactos pequenos nos objetivos.
Degradação de operações, atividades, projetos, programas ou processos
da organização, porém causando impactos mínimos nos objetivos (de
Muito tempo, prazo, custo, quantidade, qualidade, acesso, escopo, imagem,
1
baixo etc.) relacionados ao atendimento de metas, padrões ou à capacidade de
entrega de produtos/serviços às partes interessadas (clientes
internos/externos, beneficiários).
Fonte: CCIEx (2016)

A Tabela 6 apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de

risco (magnitude) decorrentes da combinação dos fatores probabilidade e impacto.

Tabela 6: Extrato da Matriz de Riscos e Controles (Avaliação de probabilidade e impacto)

Nº Riscos inerentes aos Nº
Objetivos do processo P I P x I Magnitude
Obj objetivos Risco
Solicitar a contratação de
Não atendimento da
produtos e/ou serviços para
atender uma necessidade da
O1 necessidade da organização R1 4 5 20 Extremo
organização em produtos e/ou serviços
Contratação com preço
Realizar pesquisa de preço O2 distorcido R2 5 4 20 Extremo
Contratação com qualidade
Descrever adequadamente o
O3 inferior que não atende os R3 5 5 25 Extremo
objeto da contratação
requisitos técnicos
Definir o prazo para o
recebimento dos produtos
e/ou prestação dos serviços O4 Atraso na contratação R4 4 4 16 Extremo
em tempo hábil para
utilização dos mesmos
Solicitar a contratação em Solicitação da contratação em
conformidade com leis e O5 desconformidade com leis e R5 3 4 12 Alto
regulamentos regulamentos
Escala: Baixo: 1 e 2; Médio: de 3 a 6; Alto: de 8 a 12; Extremo: de 15 a 25.
Fonte: CCIEx (2017)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 20

Com o objetivo de visualizar e, ao mesmo tempo, implementar uma forma de

tratamento de cada risco, o resultado da avaliação dos riscos será apresentado em um mapa de
riscos, chamado de Diagrama de Verificação de Riscos (DVR) permitindo o acompanhamento
da mitigação ou elevação dos riscos.
O Diagrama de Verificação de Riscos (Figura 5) demonstra os pontos de cruzamento da
probabilidade de ocorrência e do impacto dos riscos. Desta forma, pela divisão do diagrama
em quadrantes, pode-se avaliar a criticidade dos riscos. Quanto maior for a probabilidade e o
impacto de um risco, maior será seu nível de criticidade.

Figura 5: Diagrama de Verificação de Riscos

Fonte: CCIEx (2017)

Quanto à criticidade, os riscos possuem as seguintes características:

 Risco no quadrante vermelho: risco inaceitável, que possui alta probabilidade de
ocorrência e poderá resultar em impacto extremamente severo; caso ocorra, exige tratamento
imediato, colocando-se em execução um plano de ação composto por controle preventivo,
para eliminar suas causas ou reduzir sua frequência; controle detectível e plano de
contingência para reduzir sua severidade;
 Risco no quadrante laranja: pode ser tanto um risco provável, que possui alta
probabilidade de ocorrência e baixo impacto na consecução dos objetivos; bem como um
risco inesperado, que possui baixa probabilidade de ocorrência e alto impacto na consecução
dos objetivos. A estas ameaças, deve-se possuir respostas rápidas ao serem detectadas,
portanto, devem estar planejadas e testadas em um plano de contingência, emergência,
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 21

continuidade de negócios, além de ações preventivas. Diferem-se dos riscos do quadrante

vermelho, por terem ações de tratamento implementadas com mais planejamento e tempo.
São eventos que devem ser constantemente monitorados;
 Risco no quadrante amarelo: risco que deve ser quantificado e monitorado de forma
rotineira e sistemática, porque suas consequências são gerenciáveis, podendo também possuir
planos de contingência; e
 Risco no quadrante verde: risco que representa pequeno problema e causa pouco
prejuízo, portanto controlável.
A Figura 6 apresenta um exemplo de avaliação de riscos inerentes, representada num
Diagrama de Verificação de Riscos Inerentes.

Figura 6: Diagrama de Verificação de Riscos Inerentes

Fonte: CCIEx (2017)

O desafio para os Gestores de Risco é reduzir a criticidade do risco em termos de

probabilidade e impacto, colocando-o num nível aceitável.
Após a finalização da etapa de avaliação dos riscos, inicia-se o processo de avaliação do
nível de riscos dos processos, projetos, áreas ou organizações.
O Nível de Risco é um índice que deve ser calculado sempre que houver a avaliação de
riscos, possibilitando mensurar o nível de criticidade dos processos, projetos, áreas ou
organizações analisados, visando facilitar o monitoramento e acompanhamento da evolução
dos riscos. O índice é calculado pela multiplicação da média dos graus de probabilidade com
a média dos graus de impacto dos riscos presentes nos processos, projetos, áreas ou
organizações.
O Nível de Risco pode ser classificado em:
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 22

 Extremo – processos, projetos, áreas ou unidades que tem alto grau de risco e poderão
resultar em impacto extremamente severo. Exigem implantação imediata das estratégias de
prevenção e proteção, ou seja, ação imediata;
 Alto – processos, projetos, áreas ou unidades que devem receber tratamento em médio
ou curto prazo. Possuem baixo grau de risco e elevados impactos. São processos, projetos,
áreas ou unidades que devem ser constantemente monitorados;
 Médio – processos, projetos, áreas ou unidades com alto grau de risco, mas que
causam consequências gerenciáveis à organização. Esses processos, projetos, áreas ou
unidades devem ser monitorados de forma rotineira ou sistemática; e
 Baixo – processos, projetos, áreas ou unidades que estão na zona de conforto, devendo
ser gerenciados.
A Tabela 7 apresenta um exemplo de avaliação de nível de risco dos processos.
Tabela 7: Avaliação de Nível de Risco dos Processos (Riscos Inerentes)
Nº Riscos inerentes aos Nº
Objetivos do processo P I P x I Magnitude
Obj objetivos Risco
Solicitar a contratação de Não atendimento da
produtos e/ou serviços para necessidade da
atender uma necessidade da
O1 R1 4 5 20 Extremo
organização em
organização produtos e/ou serviços
Contratação com preço
Realizar pesquisa de preço O2 distorcido R2 5 4 20 Extremo

Contratação com
Descrever adequadamente o qualidade inferior que não
objeto da contratação
O3 atende os requisitos
R3 5 5 25 Extremo
técnicos
Definir o prazo para o
recebimento dos produtos
e/ou prestação dos serviços O4 Atraso na contratação R4 4 4 16 Extremo
em tempo hábil para
utilização dos mesmos
Solicitar a contratação em Solicitação da contratação
conformidade com leis e O5 em desconformidade com R5 3 4 12 Alto
regulamentos leis e regulamentos
Escala: Baixo – de 1 a 2,9; Médio – de 3 a NÍVEL DE
7,9; Alto – de 8 a 14,9; Extremo – de 15 a RISCO DO MÉDIA 18,6 Extremo
25. PROCESSO
Fonte: CCIEx (2017)
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 23

9 RESPOSTAS A RISCOS

Após a finalização do processo relativo ao componente de Avaliação de Riscos, é

iniciado o processo do componente Respostas a Riscos.
A OM deve identificar qual estratégia seguir (evitar, transferir, aceitar ou tratar) em
relação aos riscos mapeados e avaliados. A escolha da estratégia dependerá do nível de
exposição a riscos previamente estabelecido pela organização em confronto com a avaliação
que se fez do risco.
A priorização deve estar embasada no Diagrama de Verificação de Riscos. O risco no
quadrante vermelho deve receber prioridade no tratamento (Figura 7).

Figura 7:Priorização do Tratamento dos Riscos Inerentes

Fonte: CCIEx (2017)

10 ATIVIDADES DE CONTROLE

Atividades de controles internos são estabelecidas e executadas quando a OM tenha

optado pela estratégia da mitigação no componente Respostas a risco.
Incluem uma gama de controles internos da gestão preventivos e detectivos, bem como
a preparação prévia de planos de contingência e resposta à materialização dos riscos.
São exemplos de controles internos da gestão: alçadas, autorizações, conciliações,
revisões de desempenho, segurança física, segregação de função, normas, procedimentos e
sistemas informatizados.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 24

A fim de possibilitar ao gestor a definição dos controles a serem implementados visando

a mitigação dos riscos do processo, faz necessário alinhar os controles aos fatores de riscos e
aos riscos.
O entendimento sobre o fluxo das atividades do processo e desenho dos controles,
classificados como preventivos e detectivos permite avaliar se o dimensionamento destes
controles atendem ou não o objetivo esperado.
Para auxiliar esta avaliação e incluir os controles e planos de contingência na Matriz de
Riscos e Controles, utiliza-se as seguintes informações:
 Controle: é uma ação tomada para certificar-se de que algo se cumpra. Os controles
também são meios usados para verificar que certa ação é eficiente ao seu propósito. Exemplo:
conferência de entradas manuais de dados no sistema;
 Tipo de controle: manual ou automático (sem intervenção humana);
 Objetivo do controle: atingimento das metas; utilização eficiente e eficaz dos recursos;
confiabilidade das informações e cumprimento de normativos aplicáveis. Exemplo: garantir
que toda e qualquer informação inserida no sistema seja íntegra e completa;
 Periodicidade do uso do controle: diário, quinzenal, mensal, etc; e
 Categoria do controle:
 Preventivo – desenhado para prevenir eventos indesejáveis. Reduz a probabilidade
dos fatores de risco virem a contribuir para a concretização dos riscos; e
 Detectivo – desenhado para detectar eventos indesejados. Detecta a manifestação/
ocorrência de um risco, sendo necessário um plano de contingência para mitigar o impacto
nos objetivos do processo.
O esquema abaixo (Figura 8) apresenta a localização dos controles preventivos,
controles detectivos e planos de contingência em relação à causa, ao evento e às
consequências.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 25

Figura 8: Controles Preventivos e Detectivos

Fonte: CCIEx (2017)

A fim de garantir que os possíveis riscos (alinhados a cada objetivo do processo) foram
identificados, analisados e avaliados e que os controles preventivos (necessários para mitigar
a probabilidade dos fatores de risco virem a contribuir para a concretização dos riscos) e os
planos de contingência (associados a controles detectivos para mitigar o impacto nos
objetivos do processo) foram elaborados e implementados, faz-se necessário realizar uma
análise na Matriz de Riscos e Controles (Apêndice C).
Os itens abaixo são alguns exemplos de conclusão da análise na Matriz de Riscos e
Controles:
 O risco ‘R1 – Não atender uma necessidade da organização com produtos e/ou
serviços’ foi avaliado como extremo (25 pontos). Entretanto, não há controle preventivo para
mitigar a alta probabilidade do fator de risco ‘FR 1 – Ausência de justificativa da necessidade
de contratação’ em contribuir para a concretização do risco R1; bem como, não há um plano
de contingência associado ao controle detectivo ‘C5 - Assessoria Jurídica verifica a existência
do Documento de Oficialização da Demanda (Requisição)’ que possa dar início a mitigação
do impacto muito alto de se gerar desperdício de recursos públicos, quando da constatação da
ocorrência do risco pelo controle C5;
 A estratégia de tratamento escolhida para responder ao o risco ‘R4 – Atraso na
aquisição’ foi equivocada, pois não se pode aceitar um risco extremo; e
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 26

 Todo objetivo incorre, pelo menos, em um risco. Portanto, verifica-se que não foi
identificado nenhum risco para o objetivo ‘O5 – Aquisição em conformidade com leis e
regulamentos’.
O resultado desta análise resultará em recomendações de melhorias na Gestão de
Riscos, as quais poderão ser implementadas por meio de Planos de Ação (Apêndice D).
A seguir, estão listados algumas recomendações de melhorias na Gestão de Riscos:
 Elaborar e implementar um controle preventivo e um plano de contingência associado
ao controle detectivo para mitigar o risco R1;
 Selecionar outra estratégia para dar uma resposta ao risco R4; e
 Identificar e avaliar os riscos que poderão impactar o objetivo O5.
Após a execução dos Planos de Ação que permitiram a implementação de melhorias na
Gestão de Riscos, faz-se necessário reavaliar os riscos a fim de recalcular a probabilidade e o
impacto dos riscos inerentes, sob a ótica de que controles internos foram implementados a fim
de mitigá-los.
Neste momento, os riscos passam a ser considerados como riscos residuais estimados.
Ou seja, após a implementação de controles internos e reavaliação dos riscos, o gestor estima
um novo grau de criticidade para os riscos, bem como para o processo.
A Tabela 8 apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de
risco após a avaliação dos riscos residuais estimados.

Tabela 8: Matriz de Riscos Residuais Estimados (Avaliação de probabilidade e impacto)

Nº
Objetivos do processo Riscos inerentes aos objetivos Nº Risco P I P x I Magnitude
Obj
Solicitar a contratação de
Não atendimento da
produtos e/ou serviços para
O1 necessidade da organização em R1 2 2 4 Médio
atender uma necessidade da
produtos e/ou serviços
organização
Contratação com preço
Realizar pesquisa de preço O2 R2 2 2 4 Médio
distorcido
Contratação com qualidade
Descrever adequadamente o
O3 inferior que não atende os R3 2 3 6 Médio
objeto da contratação
requisitos técnicos
Definir o prazo para o
recebimento dos produtos e/ou
O4 Atraso na contratação R4 2 2 4 Médio
prestação dos serviços em tempo
hábil para utilização dos mesmos
Solicitar a contratação em Solicitação da contratação em
conformidade com leis e O5 desconformidade com leis e R5 1 1 1 Baixo
regulamentos regulamentos
Escala: Baixo – de 1 a 2,9; Médio - de 3 a 7,9; NÍVEL DE RISCO
MÉDIA 3,8 Médio
Alto - de 8 a 14,9; Extremo - de 15 a 25. DO PROCESSO
Fonte: CCIEx (2017)

A Figura 9 apresenta os riscos residuais estimados após a reavaliação.

Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 27

Figura 9: Riscos Residuais Estimados

Fonte: CCIEx (2017)

11 INFORMAÇÕES E COMUNICAÇÕES

As informações e comunicações estabelecem o processo e a estratégia de comunicação

com as partes interessadas. É uma fase que permeia todo o processo de gestão e análise de
riscos. É estratégica, pois sem a comunicação, não existe processo de gestão de riscos, tendo
em vista não sensibilizar os usuários do processo.
É necessário realizar palestras e treinamentos buscando a sensibilização e a capacitação
dos gestores envolvidos no processo, pois a percepção do risco pode variar em função de
diferentes conceitos e necessidades, além de questões de interesses das partes envolvidas, por
estarem relacionados ao risco ou aos assuntos em discussão.
A comunicação eficaz é importante para assegurar que os responsáveis pela
implementação dos futuros planos de ação compreendam as bases sobre as quais as decisões
são tomadas e a necessidade de determinadas ações.
A OM deve utilizar sua área de comunicação corporativa para operacionalizar o
processo de comunicação dos riscos corporativos.

12 MONITORAMENTO

O monitoramento deve ser planejado como parte do processo e deve envolver a

checagem ou vigilância regulares. Pode ser periódico ou acontecer em resposta a um fato
específico.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 28

De forma clara e objetiva o monitoramento envolve três procedimentos:

 O primeiro procedimento é verificar se o Plano de Ação proposto foi executado. Para
isso devemos utilizar os indicadores: Executado, Em Execução e Não Executado. Também
devem ser acompanhados os resultados das ações e medidas propostas. Devem ser
acompanhadas para saber se seus objetivos foram atingidos e, se não foram, quais as
dificuldades encontradas e as ações corretivas (Apêndice D); e
 O segundo procedimento é acompanhar a evolução das condições dos riscos
identificados e analisados. Neste caso, deve-se verificar se as condições listadas no diagrama
de causa e efeito sofreram mudanças e/ou alterações do ambiente.
 O terceiro procedimento tem como objetivo possibilitar ao gestor o conhecimento do
processo, no que tange à eficácia, ineficácia ou inexistência dos controles para que seja
realizada uma análise dos riscos residuais estimados (Apêndice E).
Esse entendimento sobre o fluxo das atividades e desenho dos controles, classificados
como preventivos ou detectivos, permite avaliar se o dimensionamento destes controles
atendem ou não o objetivo esperado.
O resultado é a verificação da eficácia do controle, medida em porcentagem de vezes
que o controle mitigou o risco. Exemplo: Para um determinado processo, foi implementado
um controle interno visando mitigar a probabilidade de manifestação de um risco (controle
preventivo). Ao realizar a avaliação da eficácia do controle, foi verificado que de cada 10
vezes que o processo foi executado, o controle preveniu que o risco se manifestasse em três
vezes, ou seja, o controle foi eficaz em apenas 30%.
O parecer é a descrição da eficácia do controle, comparando o resultado da avaliação da
eficácia do controle com o critério estabelecido. Exemplo: Foi estabelecido que o critério de
eficácia para que os controles sejam considerados eficazes é de 90%. Desta forma, de cada 10
vezes que o processo for executado, o controle deverá preveni que o risco se manifeste em, no
mínimo, nove vezes. Portanto, o controle com resultado de 30% obterá o parecer de
‘ineficaz’.
Após o monitoramento do controle, faz-se necessário reavaliar os riscos, ou seja,
recalcular a probabilidade e o impacto dos riscos residuais estimados. As notas de
probabilidade e impacto devem ser revistas neste momento, de forma coerente com a
avaliação realizada sobre os controles.
Neste momento, os riscos passam a ser considerados como riscos residuais efetivos. Ou
seja, após a avaliação dos controles e a reavaliação dos riscos, o gestor passa a verificar o real
grau de criticidade dos riscos, bem como do processo.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 29

Este processo de monitoramento é de suma importância e deve ser acompanhado

diretamente pelo gestor de riscos.
A Tabela 9 apresenta um extrato da Matriz de Riscos e Controles, definindo níveis de
risco após a avaliação dos riscos residuais estimados.

Tabela 9: Matriz de Riscos Residuais Efetivos (Avaliação de probabilidade e impacto)

Nº Nº
Objetivos do processo Riscos inerentes aos objetivos P I P x I Magnitude
Obj Risco
Solicitar a contratação de
Não atendimento da necessidade
produtos e/ou serviços para
O1 da organização em produtos e/ou R1 2 5 10 Alto
atender uma necessidade da
serviços
organização
Realizar pesquisa de preço O2 Contratação com preço distorcido R2 5 4 20 Extremo
Contratação com qualidade
Descrever adequadamente o
O3 inferior que não atende os R3 2 3 6 Médio
objeto da contratação
requisitos técnicos
Definir o prazo para o
recebimento dos produtos e/ou
O4 Atraso na contratação R4 2 2 4 Médio
prestação dos serviços em tempo
hábil para utilização dos mesmos
Solicitar a contratação em Solicitação da contratação em
conformidade com leis e O5 desconformidade com leis e R5 3 1 3 Médio
regulamentos regulamentos
Escala: Baixo – de 1 a 2,9; Médio - de 3 a 7,9; NÍVEL DE RISCO DO
MÉDIA 8,6 Alto
Alto - de 8 a 14,9; Extremo - de 15 a 25. PROCESSO
Fonte: CCIEx (2017)

A Figura 10 apresenta os riscos residuais estimados após a reavaliação.

Figura 10: Diagrama de Verificação de Riscos Residuais Efetivos

Fonte: CCIEx (2017)

Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 30

Importante frisar que quanto maior for o monitoramento, menor será a exposição a
riscos (Figura 11).

Figura 11: Monitoramento

Fonte: Adaptado de BRASILIANO (2016)

13 CONCLUSÃO

Apresentamos nesta publicação metodologia, critérios e técnicas para a execução do

Processo de Gestão de Riscos numa organização, independente de seu porte ou autonomia
administrativa.
A metodologia apresentada foi formulada com base no referencial presente na obra
“Gerenciamento de Riscos Corporativos – Estrutura Integrada” publicada pelo Committee of
Sponsoring Organizations of The Treadway Commission (COSO).
Nesta metodologia, dividimos a Estrutura da Gestão de Riscos em oito componentes
inter-relacionados e integrados com o processo de gestão das Organizações Militares, a saber:
Ambiente Interno, Fixação de Objetivos, Identificação de Eventos, Avaliação de Riscos,
Resposta a Riscos, Atividades de Controles Internos, Informação e Comunicação, além do
Monitoramento.
A Alta Administração da organização deve valer-se do Planejamento Estratégico e/ou
Plano de Gestão para fixar os objetivos do processo, cuja Gestão de Riscos será executada,
alinhando-os aos objetivos estratégicos da sua organização. Esse alinhamento é
imprescindível para que os processos que dão suporte a organização, possam efetivamente
contribuir para o atingimento das metas e objetivos traçados no seu planejamento estratégico.
Cabe ressaltar que cada objetivo do processo incorre em, pelo menos, um risco.
Entretanto, cada risco pode ser concretizado/manifestado pela influência de um ou mais
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 31

fatores de risco (causas), bem como gerar uma ou mais consequências nos objetivos do
processo. Portanto, recomenda-se a utilização da Técnica da gravata borboleta para realizar a
análise do risco.
Os riscos sofrem evolução ao longo do Processo de Gestão de Riscos, a medida que são
analisados. Na primeira análise, isenta de qualquer ação de controle, são considerados riscos
inerentes.
Após o estudo da melhor estratégia de tratamento para dar uma resposta ao risco,
desenha-se controles preventivos, controles detectivos e planos de ação, quando a estratégia
escolhida for a mitigação do risco. Neste momento, vislumbra-se um novo grau de criticidade
do risco, passando a chamar-se de risco residual estimado.
Contudo, no Processo de Gestão de Riscos, faz-se necessário monitorar a
implementação dos diversos planos de ação propostos, nos quais incluem-se a elaboração,
aperfeiçoamento e implementação dos controles internos e dos planos de contingência. Dessa
forma, o gestor reavalia os riscos, com base nas ações de monitoramento, auferindo um grau
de criticidade mais próximo da realizada. Nesse ponto, o risco passa a ser denominado de
risco residual efetivo.
Diante da conclusão da execução das oito etapas do Processo de Gestão de Riscos, o
gestor possuirá informações mais precisas para a tomada de decisão.
Portanto, verifica-se a importância para o gestor integrar a Gestão de Riscos em todos
os níveis da Gestão dos Processos Organizacionais, bem como da Gestão de Projetos.
Apostila de Gestão de Riscos e Controles Internos – CCIEx – Setembro/2018 32

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. Ministério da Defesa. Comando do Exército. Portaria nº 813-Cmt Ex, de 28 de

setembro de 2012: aprova as Normas para a Realização das Atividades de Auditoria e
Fiscalização pelo Controle Interno do Comando do Exército (EB10-N-13.003). Boletim do
Exército. Brasília, DF, 2012.
_____. Ministério da Defesa. Comando do Exército. Portaria nº 018-Cmt Ex, de 17 de
janeiro de 2013: aprova o Manual de Auditoria (EB 10-MT-13.001) e dá outras providências.
Boletim do Exército. Brasília, DF, 2013.
_____. Ministério da Defesa. Comando do Exército. Portaria nº 465-Cmt Ex, de 17 de maio
de 2017: aprova a Política de Gestão de Riscos do Exército Brasileiro (EB 10-P-01.004),
Boletim do Exército. Brasília, DF, 2017.
_____. Ministério da Defesa. Comando do Exército. Portaria nº 222-EME, de 5 de junho de
2017: aprova a Metodologia da Política de Gestão de Riscos do Exército Brasileiro (EB 20-D-
07.089), Boletim do Exército. Brasília, DF, 2017.
_____. Tribunal de Contas da União. Revista do Tribunal de Contas da União número
132, janeiro/abril 2015. Metodologia de Auditoria com Foco em Processo e Risco. Brasília:
TCU, 2015. p. 28. Disponível em:
<http://portal.tcu.gov.br/publicacoes-institucionais/periodicos-e-series/revista-do-tcu/>.
BRASILIANO, Antônio Celso Ribeiro. GESTÃO DE RISCO DE FRAUDE: Fraud Risk
Assessment – FRA. Sicurezza Editora, 2015.
COSO. Committee of Sponsoring Organizations of the Treadway Commission.
Gerenciamento de riscos corporativos. Tradução Audibra e PricewaterhouseCopers. São
Paulo: [s.n.], 2013, 135 p.
DE CICCO, Francesco. AUDITORIA BASEADA EM RISCOS: Como implementar a ABR
nas organizações: uma abordagem inovadora. Risk Tecnologia Editora Ltda, 2007.
 33
APÊNDICE A – MATRIZ DE RISCOS E CONTROLES (MODELO)
Processo: Oficialização da Demanda
Fixação de Identificação de Resposta a
Avaliação de Riscos Atividade de Controle Monitoramento
Objetivos Eventos Risco
Controles
Avaliação de risco Estratégia Avaliação de risco residual Controles detectivos e Avaliação de risco residual
Riscos Fator de Risco (Causa)
N Nº inerente de estimado preventivos Planos de efetivo
Objetivos do Nº inerentes Controles Nº Controles Nº Planos de Nº Contingência
º F Consequência Tratament
processo O aos preventivos C detectivos C contingência P
R R o dos Eficá- Eficá-
objetivos Vulnerabilidad P x Magnitud Magnitu Avalia- Px
Fonte P I Riscos P I PxI Avaliação cia cia P I Magnitude
e I e -de ção I
>90% >90%

Nível de Risco do
Nível de Risco do Processo Nível de Risco do Processo
Processo
 34
APÊNDICE B – IDENTIFICAÇÃO DE RISCOS E FATORES DE RISCO
 35
APÊNDICE C – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES

Processo: Oficialização da Demanda

Fixação de Objetivos Identificação de Resposta a
Avaliação de Riscos Ausência de Risco Atividade de Controle
Ausência de plano de contingência
Eventos
controle
Avaliação de riscopreventivo
Estratégia para mitigar o impacto do de
Avaliação risco.
riscoO
Riscos Fator de Risco (Causa) para mitigar a de
Objetivos do Nº Nº Nº inerente Controles Nº Controles Nº Planos de controle
Nº somente detecta
residual a
estimado
inerentes aos Consequência probabilidade do
processo O R FR Magnitud Tratamento preventivos C detectivos C contingência ocorrência
P do risco.Magnitud
objetivos Fonte Vulnerabilidade P I PxI P I PxI
erisco dos Riscos e
Não
Solicitar a Assessoria
atendimento
contratação de Jurídica verifica
da Ausência de
produtos e/ou Desperdício de a existência do
necessidade Processo justificativa da
serviços para O1 R1 FR1 recursos 4 5 20 Extremo Mitigar - - Documento de C5 - - 2 2 4 Médio
da s necessidade de
atender uma públicos Oficialização da
organização contratação
necessidade da Demanda
em produtos
organização (Requisição)
e/ou serviços
Fiscal
Superfaturamen Fiscal Administrativo
to ou Administrativo devolve o
Ausência de Realização
incapacidade de verifica se a Documento de
Contratação pesquisa de preço de pesquisa
Realizar pesquisa Processo entrega do bem pesquisa de Oficialização da P
O2 com preço R2 ou pesquisa de FR2 5 4 20 Extremo Mitigar de preço C2 C6 2 2 4 Médio
de preço s ou prestação do preço foi Demanda 6
distorcido preço mal conforme
serviço quando realizada (Requisição) para ser
executada IN nº 5
o preço for conforme IN nº retificada após uma
inexequível 5 nova realização de
pesquisa de preço
Fiscal
Administrativo
Contratação Fiscal
devolve o
com Elaboração Administrativo
Descrever Descrição Documento de
qualidade Comprometime de Termo de verifica se a
adequadamente o Processo inadequada do Oficialização da P
O3 inferior que R3 FR3 nto da qualidade 5 5 25 Extremo Mitigar Referência C3 descrição do C7 2 3 6 Médio
objeto da s objeto da Demanda 7
não atende os das atividades ou Projeto objeto da
contratação contratação (Requisição) para ser
requisitos Básico contratação está
retificada quanto a
técnicos adequada
descrição do objeto
da contratação
Definir o prazo Falta de
para o informação do
recebimento dos prazo para o
produtos e/ou recebimento de Interrupção ou
Atraso na Processo
prestação dos O4 R4 produtos ou FR4 inexecução das 4 4 16 Extremo Aceitar - - - - - - 2 2 4 Médio
contratação s
serviços em prestação de atividades
tempo hábil para serviços com base
utilização dos na utilização dos Estratégia de tratamento
mesmos mesmos equivocada. O gestor de
Solicitar a riscos poderá escolher
contratação em Todo objetivo entre evitar, compartilhar
conformidade O5 - - - - - 0 - ou mitigar.
- - - - - 0
com leis e
incorre, pelo
regulamentos menos, em um
risco. Nível de Risco do
16,2 Extremo Nível de Risco do Processo 3,6 Médio
Processo
 36
APÊNDICE D – PLANO DE AÇÃO 5W2H

Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos Situação
Elaborar e implementar um controle
preventivo para mitigar a alta
probabilidade do fator de risco ‘FR1 –
Ausência de justificativa da
necessidade de contratação’ em
Existência de fator de
contribuir para a concretização do
risco sem tratamento que
Elaborar e risco R1 – Não atender uma
poderá levar a
implementar um necessidade da organização com
concretização de risco,
controle preventivo produtos e/ou serviços. Elaborar e Processo de
Fiscal bem como, ausência de Não
e um plano de implementar um plano de Oficialização da Nov 17 Em execução
Administrativo plano de contingência estimado
contingência contingência associado ao controle Demanda
associado a um controle
associado ao detectivo ‘C5 – Assessoria Jurídica
detectivo, podendo
controle detectivo verifica a existência do Documento de
impactar no atingimento
Oficialização da Demanda
de objetivo do processo
(Requisição)’ que possa dar início a
mitigação do impacto muito alto de se
gerar desperdício de recursos
públicos, quando da constatação da
ocorrência do risco pelo controle C5
Selecionar outra estratégia de resposta
a risco (compartilhar, evitar ou
mitigar), de acordo com o nível de
Selecionar exposição a riscos previamente Processo de O apetite a risco da
Fiscal Não
estratégia de estabelecido pela organização (apetite Oficialização da organização não permite Nov 17 Executado
Administrativo estimado
resposta a risco e tolerância a riscos) em confronto Demanda assumir risco extremo
com a avaliação que se fez do risco
R4 – Atraso na aquisição (grau de
criticidade do risco)

Identificar e avaliar os riscos que Existência de objetivo

poderão impactar o objetivo O5 – Processo de
Identificar e avaliar Fiscal do processo sem Não
Aquisição Oficialização da Nov 17 Não execução
riscos Administrativo identificação de nenhum estimado
em conformidade com leis e Demanda
risco
regulamentos
 37
APÊNDICE E – MONITORAMENTO

Avaliação de risco residual Controles detectivos e Planos de

Controles preventivos
Nº Nº Nº Nº estimado Contingência
Controles preventivos Controles detectivos Planos de contingência Nº P
R FR C C Magnitud Eficácia Eficácia
P I PxI Avaliação Avaliação
e >90% >90%

Alta administração pública

normativo criando obrigatoriedade
Assessoria Jurídica verifica a
de que todas as contratações da
existência do Documento de
R1 FR1 organização sejam iniciadas com a C1 C5 Em elaboração P5 2 2 4 Médio 90% Eficaz 0% Ineficaz
Oficialização da Demanda
formalização da demanda por meio
(Requisição)
de documento assinado pelo
requisitante, no caso a IG12-02.

Fiscal Administrativo devolve o

Fiscal Administrativo verifica Documento de Oficialização da
Realização de pesquisa de preço
R2 FR2 C2 se a pesquisa de preço foi C6 Demanda (Requisição) para ser P6 2 2 4 Médio 50% Ineficaz 30% Ineficaz
conforme IN nº 5
realizada conforme IN nº 5 retificada após uma nova realização de
pesquisa de preço

Fiscal Administrativo devolve o

Fiscal Administrativo verifica Documento de Oficialização da
Elaboração de Termo de Referência
R3 FR3 C3 se a descrição do objeto da C7 Demanda (Requisição) para ser P7 2 3 6 Médio 95% Eficaz 90% Eficaz
ou Projeto Básico
contratação está adequada retificada quanto a descrição do objeto
da contratação

Fiscal Administrativo devolve o

Fiscal Administrativo verifica Documento de Oficialização da
Elaboração de Termo de Referência
R4 FR4 C3 se a quantidade do objeto da C8 Demanda (Requisição) para ser P8 2 2 4 Médio 95% Eficaz 95% Eficaz
ou Projeto Básico
contratação está adequada retificada quanto a quantidade do objeto
da contratação

- - Não elaborado - - - - - 0 0 0 0% Ineficaz -% Não avaliado

 38
APÊNDICE F – MATRIZ DE RISCOS E CONTROLES
Processo: Oficialização da Demanda
Fixação de Identificação de Resposta a
Avaliação de Riscos Atividade de Controle Monitoramento
Objetivos Eventos Risco
Controles
Avaliação de risco Estratégia Avaliação de risco residual Controles detectivos e Avaliação de risco residual
Fator de Risco (Causa)
Riscos N inerente de estimado preventivos Planos de efetivo
Objetivos do Nº Nº Controles Nº Controles Nº Planos de Nº
inerentes aos º Consequência Tratament Contingência
processo O FR preventivos C detectivos C contingência P
objetivos R o dos Eficá- Eficá-
Px Magnitud Magnitu- Avalia-
Fonte Vulnerabilidade P I Riscos P I PxI Avaliação cia cia P I P x I Magnitude
I e de ção
>90% >90%
Alta administração
Assessoria jurídica
pública normativo
não aprova processo
criando
de contratação que
Solicitar a Não obrigatoriedade de Assessoria
não contenha
contratação de atendimento que todas as Jurídica
informações claras
produtos e/ou da Ausência de contratações da verifica a
Desperdício de sobre qual a
serviços para necessidade R Processo justificativa da FR organização sejam existência do Inefica
O1 recursos 4 5 20 Extremo Mitigar C1 C5 necessidade da P5 2 2 4 Médio 90% Eficaz 70% 2 5 10 Alto
atender uma da 1 s necessidade de 1 iniciadas com a Documento de z
públicos contratação em
necessidade organização contratação formalização da Oficialização
termos de negócio e
da em produtos demanda por meio da Demanda
identifique
organização e/ou serviços de documento (Requisição)
precisamente o ator
assinado pelo
que declarou esta
requisitante, no caso
necessidade
a IG12-02.

Superfaturame
Fiscal Fiscal Administrativo
nto ou
Ausência de Administrativ devolve o Documento
incapacidade
pesquisa de o verifica se a de Oficialização da
Realizar Contratação de entrega do Realização de
R Processo preço ou FR pesquisa de Demanda Inefica
pesquisa de O2 com preço bem ou 5 4 20 Extremo Mitigar pesquisa de preço C2 C6 P6 2 2 4 Médio 50% Ineficaz 30% 5 4 20 Extremo
2 s pesquisa de 2 preço foi (Requisição) para ser z
preço distorcido prestação do conforme IN nº 5
preço mal realizada retificada após uma
serviço quando
executada conforme IN nova realização de
o preço for
nº 5 pesquisa de preço
inexequível
Fiscal Administrativo
Contratação Fiscal
devolve o Documento
com Administrativ
Descrever Descrição Comprometim Elaboração de de Oficialização da
qualidade o verifica se a
adequadament R Processo inadequada do FR ento da Termo de Demanda
O3 inferior que 5 5 25 Extremo Mitigar C3 descrição do C7 P7 2 3 6 Médio 95% Eficaz 90% Eficaz 2 3 6 Médio
e o objeto da 3 s objeto da 3 qualidade das Referência ou (Requisição) para ser
não atende objeto da
contratação contratação atividades Projeto Básico retificada quanto a
os requisitos contratação
descrição do objeto
técnicos está adequada
da contratação
Definir o Falta de
prazo para o informação do Fiscal Administrativo
Fiscal
recebimento prazo para o devolve o Documento
Administrativ
dos produtos recebimento de Elaboração de de Oficialização da
Interrupção ou o verifica se a
e/ou prestação Atraso na R Processo produtos ou FR Termo de Demanda
O4 inexecução das 4 4 16 Extremo Mitigar C3 quantidade do C8 P8 2 2 4 Médio 95% Eficaz 95% Eficaz 2 2 4 Médio
dos serviços contratação 4 s prestação de 4 Referência ou (Requisição) para ser
atividades objeto da
em tempo serviços com Projeto Básico retificada quanto a
contratação
hábil para base na quantidade do objeto
está adequada
utilização dos utilização dos da contratação
mesmos mesmos

Equipe de
planejamento da
Necessidade Equipe de
Solicitação contratação (SALC)
de muitos planejamento
da elabora o Documento
Solicitar a ajustes para Requisitante deve da contratação
contratação Requisição de Oficialização da
contratação que a solução ser a autora do (SALC)
em Estrutura confeccionada Demanda
em R FR contratada Documento de verifica a
O5 desconformi organiza por quem não 3 4 12 Alto Mitigar C4 C9 (Requisição) e o P9 1 1 1 Baixo 30% Ineficaz 90% Eficaz 3 1 3 Médio
conformidade 5 5 atenda às Oficialização da existência do
dade com cional necessita de submete à aprovação
com leis e necessidades Demanada Documento de
leis e produto/serviço do requisitante para
regulamentos ou abandono (Requisição) Oficialização
regulamento sua ratificação formal
da solução da Demanda
s antes de iniciar o
contratada (Requisição)
planejamento da
contratação

Nível de Risco do
18,6 Extremo Nível de Risco do Processo 3,8 Médio Nível de Risco do Processo 8,6 Alto
Processo
 39
APÊNDICE G – ESTUDO DE CASO

Você foi designado membro da Equipe de Gestão de Riscos da Seção em que trabalha. Utilizando
os conhecimentos adquiridos no Curso de Gestão de Riscos e Controles Internos, execute o processo de
Gestão de Riscos em um processo crítico de sua Seção, a fim de propiciar garantia razoável quanto ao al-
cance dos objetivos desse processo. Para tanto, responda aos quesitos abaixo:
1. Defina o nível de criticidade dos processos (Oficialização da demanda, Planejamento da contra-
tação, Seleção do fornecedor e Gestão do contrato) que constituem o macroprocesso de Aquisi-
ções Públicas, utilizando a Matriz de Priorização dos Processos Críticos (Apêndice H).

Obs: Independentemente do resultado do quesito anterior, utilize o processo “Seleção do fornece-

dor” para responder aos quesitos seguintes.

2. Defina os objetivos do processo, utilizando a Matriz de Riscos e Controles (Apêndice I).

3. Identifique os riscos inerentes do processo, utilizando a Matriz de Riscos e Controles (Apêndice
I).
4. Analise os riscos inerentes do processo, relacionando-os com os fatores de risco que lhes dão
origem e com as consequências que podem surgir, utilizando a Técnica da gravata borboleta
(Apêndice J).
5. Identifique os riscos (eventos) e os fatores de riscos (causas) no fluxograma do processo “Sele-
ção do fornecedor” (Apêndice K).
6. Realize a avaliação dos riscos inerentes do processo, utilizando a Matriz de Riscos e Controles
(Apêndice I).
7. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos inerentes do processo,
utilizando o DVR 1 (Apêndice L).
8. Realize a avaliação do nível de risco do processo, utilizando a Matriz de Riscos e Controles
(Apêndice I).
9. Defina a estratégia a ser adotada para cada risco inerente avaliado, utilizando a Matriz de Riscos
e Controles (Apêndice I).
 40
10. Defina os controles necessários para mitigar os riscos e, sfc, os planos de contingência associa-
dos, utilizando a Matriz de Riscos e Controles (Apêndice I).

Obs: Independentemente do resultado do quesito anterior, utilize a Análise da Matriz de Riscos e

Controles (Apêndice M) para responder aos quesitos seguintes.

11. Analise a Matriz de Riscos e Controles no tocante aos objetivos sem riscos definidos; à estraté-
gia de tratamento dos riscos selecionada; e aos riscos e fatores de risco sem controles e planos de
contingência definidos, utilizando a Análise da Matriz de Riscos e Controles (Apêndice M).
12. Elabore um Plano de Ação decorrente das conclusões da análise da Matriz de Riscos e Contro-
les, utilizando o Plano de Ação – 5W2H (Apêndice N).
13. Realize a avaliação dos riscos residuais estimados e do nível de risco do processo, utilizando a
Matriz de Riscos e Controles (Apêndice I).
14. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos residuais estimados,
utilizando o DVR 2 (Apêndice L).
15. Realize o monitoramento do Plano de Ação elaborado no quesito 11, verificando se o mesmo
foi executado, preenchendo a coluna ‘Situação’ do Plano de Ação – 5W2H (Apêndice N).
16. Considerando que o plano de contingência associado ao controle detectivo C1 ainda está em
elaboração, que o controle preventivo para o risco R5 não foi elaborado e que não houve evolu-
ção das condições dos riscos identificados e analisados, realize o monitoramento (Apêndice O).
17. Realize a avaliação dos riscos residuais efetivos e do nível de risco do processo, utilizando a
Matriz de Riscos e Controles (Apêndice I).
18. Confeccione o Diagrama de Verificação de Riscos (DVR) para os riscos residuais estimados,
utilizando o DVR 3 (Apêndice L).
19. Analise os Diagramas de Verificação de Riscos 1, 2 e 3 (Apêndice L), a fim de verificar a mag-
nitude dos riscos depois da implantação dos controles internos da gestão e conclua sobre a neces-
sidade de elaboração de novo Plano de Ação – 5W2H.
20. Analise a Matriz de Riscos e Controles (Apêndice I), a fim de verificar o nível de risco do pro-
cesso depois da implantação dos controles internos da gestão e conclua sobre a necessidade de
elaboração de novo Plano de Ação – 5W2H.
 41

APÊNDICE H – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – ESTUDO DE CASO

Objetivos
Atender as operações Contratação com quali- Recebimento dos pro- Contratação em confor- Total da
Contratação com preço
militares com produtos dade que atenda os re- dutos e serviços em midade com leis e regu- relação
competitivo
e serviços quisitos técnicos tempo hábil lamentos

Oficialização da
demanda

Planejamento da
contratação

Processos

Seleção do
fornecedor

Gestão do contra-
to

Legenda:
Relação Processo x Objetivo Pontos
Forte 5
Média 3
Fraca 1
Sem relação -
Fonte: Adaptado de ENAP (2016)
 42
APÊNDICE I – MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO

Processo: Seleção do fornecedor

Fixação de Identificação de Resposta a
Avaliação de Riscos Atividade de Controle Monitoramento
Objetivos Eventos Risco
Controles detectivos
Estratégia Avaliação de risco residual Controles Avaliação de risco residual
Fator de Risco (Causa) Avaliação de risco inerente e Plano de
Objetivos do Riscos inerentes Nº Nº de Controles Nº Controles Planos de estimado preventivos efetivo
Nº O Consequência Nº C Nº P Contingência
processo aos objetivos R FR Tratamento preventivos C detectivos contingência
Magnitu- Avalia- Eficácia Avalia- Eficácia
Fonte Vulnerabilidade P I P x I Magnitude dos Riscos P I PxI P I P x I Magnitude
de ção >90% ção >90%

Nível de Risco do Processo Nível de Risco do Processo Nível de Risco do Processo

 43
APÊNDICE J – TÉCNICA DA GRAVATA BORBOLETA– ESTUDO DE CASO
44
45
 46
APÊNDICE K – PROCESSO MAPEADO – ESTUDO DE CASO
 47
APÊNDICE L – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – ESTUDO DE CASO
 48
APÊNDICE M – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – ESTUDO DE CASO

Processo: Seleção do Fornecedor

Fixação de Identificação de Resposta a
Avaliação de Riscos Atividade de Controle
Objetivos Eventos Risco
Avaliação de risco Estratégia
Riscos Fator de Risco (Causa)
Objetivos do Nº Nº Nº inerente de Nº Nº
inerentes aos Consequência Controles preventivos Controles detectivos Planos de contingência Nº P
processo O R FR Tratamento C C
objetivos Fonte Vulnerabilidade P I P x I Magnitude
dos Riscos

Existência de Ausência de instauração

Incapacidade de
grande de procedimento
entrega do bem
número de administrativo para
Processo ou prestação do
propostas R1 apurar condutas de FR1 4 5 20 Extremo Mitigar - - - - - -
s serviço quando
não mantidas licitantes que podem ser
o preço for
após a fase tipificadas no art. 7º da
inexequível
Selecionar a de lances Lei 10.520/2002
proposta
O1 Existência de
mais
vantajosa poucos
fornecedores Realizar contraproposta
Pregoeiro verifica a
cotando ao licitante que tenha
Processo Pouca divulgação do Falta de competitividade entre
preços, ante R2 FR2 4 4 16 Extremo Mitigar - - C3 apresentado lance mais P3
s certame licitatório competitividade os licitantes durante a
o vantajoso, para que seja
fase de lances
desconhecim obtida melhor proposta
ento da
contratação
Pregoeiro e equipe de
Aceitação ou
apoio não detém as Homologar somente os
recusa de Desperdício de Ordenador de Despesas
competências Capacitação do pregoeiro itens cuja proposta
propostas em R3 Pessoas FR3 recursos 5 5 25 Extremo Mitigar C4 verifica a adjudicação C5 P5
multidisciplinares e da equipe de apoio vencedora esteja de
desacordo públicos do pregoeiro
necessárias à execução acordo com o edital
com o edital
da atividade

Estar em Utilizar uma relação com

Não consultar todas as
conformidad Contratação todas as listas de
listas onde constam Contratação
e com leis e de licitante restrições para contratar
R4 Pessoas restrições para contratar FR4 com fornecedor 5 5 25 Extremo Mitigar C6 - - - -
regulamentos O2 com que devem ser
com a Administração inidôneo
que tratam de restrições consultadas na etapa de
Pública
aquisições habilitação do fornecedor.
públicas
Publicação
de Republicação
informações do edital com
Ausência de padrão para
incompletas, Processo abertura de
R5 a publicação dos FR5 3 1 3 Médio Mitigar - - - - - -
em s novo prazo para
extratos do edital
desacordo elaboração das
com a propostas
legislação
Nível de Risco do
17.8 Extremo
Processo
 49
APÊNDICE N – PLANO DE AÇÃO – 5W2H – ESTUDO DE CASO

Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos Situação
 50
APÊNDICE O – MONITORAMENTO – ESTUDO DE CASO

Avaliação de risco residual Controles detectivos e

Controles preventivos
estimado Planos de Contingência
Nº Nº Nº Nº Nº
Controles preventivos Controles detectivos Planos de contingência
R FR C C P Eficácia Eficácia
P I PxI Magnitude Avaliação Avaliação
>90% >90%

Pregoeiro verifica quais

Cláusula em Edital
propostas não foram
R1 FR1 prevendo procedimento C1 C2 Em elaboração P1 3 2 6 Médio
mantidas após a fase de
administrativo
lances

Realizar contraproposta
Pregoeiro verifica a
ao licitante que tenha
Ampla divulgação do competitividade entre os
R2 FR2 C3 C4 apresentado lance mais P2 2 2 4 Médio
certame licitatório licitantes durante a fase
vantajoso, para que seja
de lances
obtida melhor proposta

Homologar somente os
Capacitação do Ordenador de Despesas
itens cuja proposta
R3 FR3 pregoeiro e da equipe de C5 verifica a adjudicação C6 P3 2 2 4 Médio
vencedora esteja de
apoio do pregoeiro
acordo com o edital

Utilizar uma relação

com todas as listas de
Homologar somente os
restrições para contratar Ordenador de Despesas
itens cuja proposta
R4 FR4 que devem ser C7 verifica a adjudicação C6 P4 1 2 2 Baixo
vencedora esteja de
consultadas na etapa de do pregoeiro
acordo com o edital
habilitação do
fornecedor.

R5 FR5 Não elaborado - - - - - 1 1 1 Baixo

 51
APÊNDICE P – PRIORIZAÇÃO DOS PROCESSOS CRÍTICOS – GABARITO

Objetivos
Atender as operações Contratação com quali- Recebimento dos produ- Contratação em confor- Total da
Contratação com preço
militares com produtos e dade que atenda os re- tos e serviços em tempo midade com leis e regu- relação
competitivo
serviços quisitos técnicos hábil lamentos

Oficialização da
5 3 5 5 5 23
demanda

Planejamento da
3 1 3 3 3 13
contratação

Processos

Seleção do
5 5 5 1 5 21
fornecedor

Gestão do contrato 3 1 5 5 3 17

Legenda:

Relação Processo x Objetivo Pontos

Forte 5
Média 3
Fraca 1
Sem relação -
Fonte: Adaptado de ENAP (2016)
 52
APÊNDICE Q – MATRIZ DE RISCOS E CONTROLES – GABARITO

Processo: Seleção do fornecedor

Fixação de Identificação de Resposta a
Avaliação de Riscos Atividade de Controle Monitoramento
Objetivos Eventos Risco
Controles detectivos
Estratégia Avaliação de risco residual Controles Avaliação de risco residual
Fator de Risco (Causa) Avaliação de risco inerente e Plano de
Objetivos do Riscos inerentes Nº de Controles Controles Planos de estimado preventivos efetivo
Nº O Nº R Consequência Nº C Nº C Nº P Contingência
processo aos objetivos FR Tratamento preventivos detectivos contingência
Magnitu- Avalia- Eficácia Avalia- Eficácia
Fonte Vulnerabilidade P I P x I Magnitude dos Riscos P I PxI P I P x I Magnitude
de ção >90% ção >90%

Ausência de
Instaurar
instauração de
Pregoeiro procedimento
procedimento Incapacidade de
Existência de verifica quais administrativo para
administrativo para entrega do bem ou Cláusula em Edital
grande número propostas não apurar condutas de
apurar condutas de prestação do prevendo
de propostas não R1 Processos FR1 4 5 20 Extremo Mitigar - foram C1 licitantes que P1 3 2 6 Médio 90% Eficaz 0% Ineficaz 3 5 15 Extremo
licitantes que serviço quando o procedimento
mantidas após a mantidas podem ser
podem ser preço for administrativo
fase de lances após a fase de tipificadas no art.
tipificadas no art. inexequível
lances 7º da Lei
7º da Lei
10.520/2002
10.520/2002
Selecionar a
proposta mais O1
vantajosa

Realizar
Existência de Pregoeiro
contraproposta ao
poucos verifica a
licitante que tenha
fornecedores Pouca divulgação Ampla divulgação competitivida
Falta de apresentado lance
cotando preços, R2 Processos do certame FR2 4 4 16 Extremo Mitigar do certame C2 de entre os C3 P3 2 2 4 Médio 90% Eficaz 90% Eficaz 2 2 4 Médio
competitividade mais vantajoso,
ante o licitatório licitatório licitantes
para que seja
desconhecimento durante a fase
obtida melhor
da contratação de lances
proposta

Pregoeiro e equipe
Homologar
Aceitação ou de apoio não detém Ordenador de
somente os itens
recusa de as competências Capacitação do Despesas
Desperdício de cuja proposta
propostas em R3 Pessoas multidisciplinares FR3 5 5 25 Extremo Mitigar pregoeiro e da C4 verifica a C5 P5 2 2 4 Médio 95% Eficaz 95% Eficaz 2 2 4 Médio
recursos públicos vencedora esteja de
desacordo com o necessárias à equipe de apoio adjudicação
acordo com o
edital execução da do pregoeiro
edital
atividade

Estar em Utilizar uma

conformidade relação com todas
com leis e Não consultar todas Homologar
as listas de Ordenador de
regulamentos O2 as listas onde somente os itens
Contratação de Contratação com restrições para Despesas
que tratam de constam restrições cuja proposta
licitante com R4 Pessoas FR4 fornecedor 5 5 25 Extremo Mitigar contratar que C6 verifica a C5 P5 1 2 2 Baixo 50% Ineficaz 95% Eficaz 5 2 10 Alto
aquisições para contratar com vencedora esteja de
restrições inidôneo devem ser adjudicação
públicas a Administração acordo com o
consultadas na do pregoeiro
Pública edital
etapa de habilitação
do fornecedor.

Republicação do
Publicação de
Ausência de padrão edital com Padronizar o
informações
para a publicação abertura de novo conteúdo das Não
incompletas, em R5 Processos FR5 3 1 3 Médio Mitigar C7 - - - - 1 1 1 Baixo 95% Eficaz -% 1 1 1 Baixo
dos extratos do prazo para publicações dos avaliado
desacordo com a
edital elaboração das extratos do edital
legislação
propostas

Nível de Risco do Processo 17.8 Extremo Nível de Risco do Processo 3.4 Médio Nível de Risco do Processo 6.8 Médio
 53
APÊNDICE R – TÉCNICA DA GRAVATA BORBOLETA – GABARITO
54
 55
APÊNDICE S – PROCESSO MAPEADO – GABARITO
APÊNDICE T – DIAGRAMA DE VERIFICAÇÃO DE RISCOS – GABARITO

56
 APÊNDICE U – ANÁLISE DA MATRIZ DE RISCOS E CONTROLES – GABARITO

Processo: Seleção do Fornecedor

Fixação de Identificação de Resposta a Ausência de controle
Avaliação de Riscos Atividade de Controle
Objetivos Eventos Risco detectivo e plano de
Avaliação de risco
Riscos Fator de Risco (Causa) AusênciaEstratégia
de controle contingência associado
Objetivos do Nº Nº Nº inerente de mitigr Nº Nº
inerentes aos Consequência preventivo para Controles preventivos Controles detectivos paramitigar
Planos o impacto Nº P
de contingência
processo O R FR Tratamento C C do risco.
objetivos Fonte Vulnerabilidade P I P x I Magnitudea probabilidade
dos Riscos
do
risco.
Extremo
Existência de Ausência de instauração
Incapacidade de
grande de procedimento
entrega do bem
número de administrativo para
ou prestação do
propostas não R1 Processos apurar condutas de FR1 4 5 20 AusênciaMitigar
de controle - - - - - -
serviço quando o
mantidas licitantes que podem ser
após a fase de tipificadas no art. 7º da
preço for preventivo para mitigr
inexequível a probabilidade do
lances Lei 10.520/2002
Selecionar a risco.
proposta mais O1
vantajosa Existência de
poucos
Realizar contraproposta
fornecedores Pregoeiro verifica a
ao licitante que tenha
cotando Pouca divulgação do Falta de competitividade entre os
R2 Processos FR2 4 4 16 Extremo Mitigar - - C3 apresentado lance mais P3
preços, ante o certame licitatório competitividade licitantes durante a fase
vantajoso, para que seja
desconhecime de lances
obtida melhor proposta
nto da
contratação

Pregoeiro e equipe de
Aceitação ou
apoio não detém as Homologar somente os
recusa de Desperdício de Ordenador de Despesas
competências Capacitação do pregoeiro e itens cuja proposta
propostas em R3 Pessoas FR3 recursos 5 5 25 Extremo Mitigar C4 verifica a adjudicação do C5 P5
multidisciplinares da equipe de apoio vencedora esteja de
desacordo públicos pregoeiro
necessárias à execução da acordo com o edital
com o edital
atividade
Estar em
conformidade Não consultar todas as Utilizar uma relação com
com leis e Contratação
listas onde constam Contratação com todas as listas de restrições
regulamentos O2 de licitante
R4 Pessoas restrições para contratar FR4 fornecedor 5 5 25 Extremo Mitigar para contratar que devem C6 - - - -
que tratam de com
com a Administração inidôneo ser consultadas na etapa de
aquisições restrições
Pública habilitação do fornecedor.
públicas
Ausência de controle
Publicação de Republicação do detectivo e plano de
informações edital com contingência associado
Ausência de padrão para
incompletas, abertura de novo
R5 Processos a publicação dos extratos FR5 3 1 3 Médio Mitigar - - - paramitigar
- o impacto
- -
em desacordo prazo para
do edital do risco.
com a elaboração das
legislação propostas
Ausência de controle
Nível de Risco do
Processo
17.8 Extremo preventivo para mitigar a
probabilidade do risco

57
 APÊNDICE V – PLANO DE AÇÃO – 5W2H – GABARITO

Ação a realizar? Quem? Como? Onde? Por quê? Custos Prazos Situação
Elaborar e implementar um controle detecti-
vo e um plano de contingência associado
que possa dar início a mitigação do impacto A ausência de controle de-
Elaborar e implemen-
muito alto de incapacidade de entrega do tectivo e plano de contingên-
tar um controle detec- Pregoeiro e equipe de Processo de Seleção
bem ou prestação do serviço quando o preço cia associado, podendo ocor- Não estimado Nov 17 Em execução
tivo e um respectivo apoio do Fornecedor
for inexequível, quando da constatação da rer interrupção abrupta do
plano de contingência
ocorrência do risco 'R1 – Existência de processo
grande número de propostas não mantidas
após a fase de lances’'

Elaborar e implementar um controle preven-

tivo para mitigar a alta probabilidade do fa-
O controle preventivo preve-
tor de risco ‘FR2 – Pouca divulgação do
Elaborar um controle Pregoeiro e equipe de Processo de Seleção nirá que o fator de risco con-
certame licitatório’ em contribuir para a Não estimado Nov 17 Executado
preventivo apoio do Fornecedor tribua para a ocorrência do
concretização do risco 'R2 – Existência de
risco
poucos fornecedores cotando preços, ante o
desconhecimento da contratação'

Elaborar e implementar um controle detecti-

Elaborar A ausência de controle de-
vo e um plano de contingência associado
e implementar um tectivo e plano de contingên-
Pregoeiro e equipe de que possa dar início a mitigação do impacto Processo de Seleção
controle detectivo e cia associado, podendo ocor- Não estimado Nov 17 Executado
apoio muito alto de contratar licitante inidôneo, do Fornecedor
um respectivo plano rer interrupção abrupta do
quando da ocorrência do risco 'R 4 – Con-
de contingência processo
tratação de licitante com restrições'

Elaborar e implementar um controle preven-

tivo para mitigar a probabilidade do fator de
O controle preventivo preve-
risco ‘FR5 – Ausência de padrão para a pu-
Elaborar um controle Pregoeiro e equipe de Processo de Seleção nirá que o fator de risco con-
blicação dos extratos do edital’ em contri- Não estimado Nov 17 Não executado
preventivo apoio do Fornecedor tribua para a ocorrência do
buir para a concretização do risco 'R5 – Pu-
risco
blicação de informações incompletas, em
desacordo com a legislação'

58
 APÊNDICE X – MONITORAMENTO – GABARITO

Avaliação de risco residual Controles detectivos e

Controles preventivos
estimado Planos de Contingência
Nº Nº Nº Nº
Controles preventivos Controles detectivos Planos de contingência Nº P
R FR C C Eficácia Eficácia
P I PxI Magnitude Avaliação Avaliação
>90% >90%

Pregoeiro verifica quais

Cláusula em Edital
propostas não foram
R1 FR1 prevendo procedimento C1 C2 Em elaboração P1 3 2 6 Médio 90% Eficaz 0% Ineficaz
mantidas após a fase de
administrativo
lances

Realizar contraproposta ao
Pregoeiro verifica a
licitante que tenha
Ampla divulgação do competitividade entre os
R2 FR2 C3 C4 apresentado lance mais P2 2 2 4 Médio 90% Eficaz 90% Eficaz
certame licitatório licitantes durante a fase
vantajoso, para que seja
de lances
obtida melhor proposta

Homologar somente os
Ordenador de Despesas
Capacitação do pregoeiro itens cuja proposta
R3 FR3 C5 verifica a adjudicação do C6 P3 2 2 4 Médio 95% Eficaz 95% Eficaz
e da equipe de apoio vencedora esteja de acordo
pregoeiro
com o edital

Utilizar uma relação com

todas as listas de Homologar somente os
Ordenador de Despesas
restrições para contratar itens cuja proposta
R4 FR4 C7 verifica a adjudicação do C6 P4 1 2 2 Baixo 50% Ineficaz 95% Eficaz
que devem ser vencedora esteja de acordo
pregoeiro
consultadas na etapa de com o edital
habilitação do fornecedor.

Não
R5 FR5 Não elaborado - - - - - 1 1 1 Baixo 0% Ineficaz -%
avaliado

59